Alibaba Cloud 上の複数のアカウントを一元管理

1. マルチアカウントアーキテクチャ設計

Alibaba Cloud リソースディレクトリ (RD) を使用することは、大規模な倉庫でアイテムを整理および分類するようなものです。明確なクラウド リソース階層を確立するために、リソース ディレクトリを使用すると、すべてのクラウド リソースを便利に管理および検索し、リソースの使用率とセキュリティを向上させ、管理作業を簡素化できるため、さまざまなクラウド リソースの制御と管理が容易になります。

Alibaba Cloud のベストプラクティス、会社の現状、将来のスケーラビリティを考慮して、リソース ディレクトリの構成には次のアーキテクチャを使用することをお勧めします。

写真

アカウントタイプの説明

• エンタープライズ管理アカウント: (マスター アカウント、略して MA) は、マルチアカウント システムのルート アカウントとして機能し、組織全体の管理を担当します。以下の責任を負います。

リソース カタログを開いて管理します。

追加のアカウントを作成して整理します。

すべての会社のアカウントに対して管理者権限を持ちます。

すべてのリソースの請求および支払い関連の財務情報を管理できます。

• ログ アカウント: (ログ アカウント) ログを集計および監査するために使用されるアカウント。以下の責任を負います。

すべてのログを集約して保存し、統一された表示と監査を実現します。

ユーザーはセキュリティ チームです。

• アプリケーション アカウント: (アプリケーション アカウント) は、アプリケーションを展開するために使用される一般的なビジネス アカウントです。以下の責任を負います。

権限の範囲内で、業務ニーズに応じてECS、RDS、OSS、SLB、ACKなどのさまざまなクラウドリソースを公開し、管理します。

リソースフォルダの説明

リソース フォルダーはフォルダーに似ており、クラウド上のリソースを整理および管理するために使用されます。 Alibaba Cloud リソース ディレクトリでは、リソース フォルダーは複数のアカウントのすべてのリソース インスタンスを管理するために使用される概念です。

2. リソースディレクトリの構成

1. エンタープライズ管理アカウントを使用して、「リソース管理 - リソース カタログ - 概要」でリソース カタログを開きます。

写真

リソース ディレクトリを開くと、システムによってルート リソース フォルダーが作成され、現在のログイン アカウントが管理アカウントとして設定されます。

写真

2. 以下の表の要件に従って新しいリソース フォルダーを作成し、[リソース フォルダーの作成] ボタンをクリックし、右側のポップアップ インターフェイスに作成するフォルダーの名前を入力して、[確認] ボタンをクリックしてリソース フォルダーの作成を完了します。

写真

3. メンバーを招待する

1. 「リソース管理 - リソース カタログ - メンバーの招待」で、「メンバーの招待」ボタンをクリックします。右側のポップアップ インターフェイスで、アプリケーションのメイン アカウントの UID を入力し、「リソース フォルダー」で「プロジェクト」を選択し、「このリスクを理解しています」にチェックを入れて、「OK」ボタンをクリックします。

写真

2. アプリケーション アカウント (招待されたアカウント) を使用して、[リソース管理] - [リソース カタログ] - [概要] に移動し、[招待の表示] をクリックしてから、[操作] 列の [招待の処理] をクリックします。招待処理ダイアログ ボックスで、招待情報をよく読み、リスク警告ボックスをオンにして、[招待を承諾] をクリックします。招待者がリソース ディレクトリに正常に参加すると、リソース ディレクトリ設定ページでリソース ディレクトリ関連の情報を表示できるようになります。

3. リソース管理 - リソース カタログ - 概要で、「メンバー リスト」を選択して、招待を承諾したアカウントを表示します。

写真

4. 新しいログアカウントを作成する

1. エンタープライズ管理アカウントを使用して、「リソース管理」 - 「リソースカタログ」 - 「メンバーの作成」に移動し、「メンバーの作成」ボタンをクリックし、ログアカウントの命名規則に従って、「メンバーの作成」インターフェイスで「Alibaba Cloud アカウント名」と「表示名」を入力します。

金融エスクローは現在 Alibaba Cloud の直接顧客とリセラー パートナー関連の顧客をサポートしているため、当社のアカウントの顧客 ID は金融エスクローの開設をサポートしていません。そのため、管理アカウントを使用して新規メンバーの支払いを行うことは選択できません。

写真

2 番目のオプション「既存のメンバーを使用して新規メンバーの支払いを行う」を選択すると、「Trusteeship は、Alibaba 直接販売アカウントと Alibaba チャネル パートナー (代理店を除く) のエンドユーザーのみが利用できます」というメッセージが表示されました。 Alibaba Cloud に問い合わせたところ、当座口座は金融連携のために金融管理モードでのみ使用でき、金融信託モードでは使用できないことがわかりました。

写真

そこで、ここでは「新規メンバーは個別に支払う」を選択し、上記の設定を完了したら「OK」ボタンをクリックします。

写真

2. 作成されたアカウントは、デフォルトでルート リソース フォルダーに配置されます。 [リソース管理] - [リソース ディレクトリ] - [概要] で、[メンバー リスト] を選択し、新しく作成したログ アカウントを見つけて、右側の [移動] ボタンをクリックします。

写真

Root-Core-Management リソース フォルダーを選択し、[OK] ボタンをクリックします。

写真

次の図に示すように、ログ アカウントは root/Core/Management ディレクトリに移動されています。

写真

3. 管理アカウントの RAM ユーザーを使用してログ アカウントの Alibaba Cloud コンソールにログインし、メンバー RAM ロールを引き受けます。ログ アカウントにログインする必要がある RAM アカウントに、少なくとも次の権限を付与します。

• AliyunSTSAssumeRoleAccess: STS サービス AssumeRole インターフェイスを呼び出す権限。
• AliyunResourceDirectoryFullAccess: リソース ディレクトリ サービス (ResourceDirectory) を管理する権限。

例示する

RAM ユーザーが管理者である場合は、AdministratorAccess 権限を直接付与することもできます。

RAM アカウントにログインし、リソース管理 - リソース カタログ - 概要の「メンバー リスト」タブを選択し、作成したログ アカウントを見つけて、アカウントの右側にある「ログイン アカウント」ボタンをクリックし、ログ アカウントにログインして、ログおよび監査関連の構成を実行します。

写真

5. ログアカウント構成の財務関連

5.1 招待ログアカウントの所有権

エンタープライズ管理アカウントのメインアカウントを使用して、リンク https://usercenter2.aliyun.com/finance/link-account/list をクリックし、ログアカウントを所属させるよう招待します。

写真

5.2 リソースアカウントをクラウドアカウントに変換する

ステップ1: リソースアカウントに安全な携帯電話番号を設定する

エンタープライズ管理アカウントを使用して、このリンク https://resourcemanager.console.aliyun.com/resource-directory/folders/ をクリックし、リソース管理コンソールにログインします。左側のナビゲーション バーで、[リソース カタログ] > [概要] を選択します。 [リソース組織] タブをクリックします。ログ アカウントを見つけて、ターゲット リソース アカウントの [操作] 列で [セキュリティ フォンのバインド] をクリックします。

写真

[セキュリティ フォンのバインド] ダイアログ ボックスで、セキュリティ フォン番号を入力し、確認コードを取得して入力します。 [OK]をクリックします。

写真

ステップ2: リソースアカウント用の安全なメールボックスを設定する

エンタープライズ管理アカウントを使用して、このリンク https://resourcemanager.console.aliyun.com/resource-directory/folders/ をクリックし、リソース管理コンソールにログインします。左側のナビゲーション バーで、[リソース カタログ] > [概要] を選択します。 [リソース組織] タブをクリックします。ログ アカウントを見つけて、対象メンバーの表示名をクリックします。

写真

「メンバーの詳細」パネルで、メンバーのアカウント名の横にある「編集」をクリックします。

写真

[アカウント電子メールの変更] ダイアログ ボックスで、新しい電子メール アドレスを入力し、[OK] をクリックします。システムは設定したメールアドレスに確認メールを自動的に送信しますので、24 時間以内に確認する必要があります。確認前に、確認メールを再送信するか、この変更をキャンセルすることができます。該当するメールアドレスにログインし、変更を確認してください。確認後、メンバーのアカウント名とセキュリティメールアドレスが同時に変更されます。

写真

ステップ3: リソースアカウントをクラウドアカウントに切り替える

エンタープライズ管理アカウントを使用して、このリンク https://resourcemanager.console.aliyun.com/resource-directory/folders/ をクリックし、リソース管理コンソールにログインします。左側のナビゲーション バーで、[リソース カタログ] > [概要] を選択します。 [リソース組織] タブをクリックします。ログ アカウントを見つけて、対象メンバーの [操作] 列で [クラウド アカウントに切り替える] をクリックします。

写真

[クラウド アカウントへの切り替え] ダイアログ ボックスで、リスク警告を読み、[リスク警告] ボックスを選択して、[OK] をクリックします。

写真

ステップ 4. クラウド アカウントのパスワードを取得します。このリンクをクリックします: https://passport.aliyun.com/ac/pc/password_find_v_2.htm?fromSite=6&appName=aliyun&lang=zh_CN##returnUrl## 新しくバインドされた携帯電話番号またはメールアドレスを入力して、パスワードを取得します。

写真

5.3 帰属の承認

パスワードを取得したら、このリンク https://account.aliyun.com/login/login.htm をクリックして、ログ アカウントのメイン アカウントにログインします。

写真

リンク https://usercenter2.aliyun.com/finance/link-account/list をクリックし、確認する関連付けの招待を選択して、「今すぐ処理」ボタンをクリックします。

写真

「参加に同意する」をクリックして、会社の帰属を完了します。

写真

5.4 金融関連の設定

ステップ1: アカウント移行

エンタープライズ管理アカウントのメインアカウントを使用して https://ea.console.aliyun.com/account-manage/ をクリックし、エンタープライズアカウントセンターコンソールにログインし、左側のナビゲーションバーで「組織とアカウント」を選択し、組織ディレクトリの右側のリストページで操作するログアカウントを選択して「移動」をクリックします。

写真

指定した組織ノードに移動し、「移動の確認」をクリックします。

写真

ステップ2: アカウントの承認と決済戦略

エンタープライズ管理アカウントを使用し、https://ea.console.aliyun.com/account-manage/ をクリックして、エンタープライズ アカウント センター コンソールにログインし、左側のナビゲーション バーで [組織とアカウント] を選択し、組織ディレクトリの右側にあるリスト ページで操作するログ アカウントを選択して、[詳細] をクリックして入力します。

写真

「詳細設定」で、「アカウント ロール」を見つけて、「基本アカウント メンバー」を選択します。 「財務決済戦略」をクリックし、「変更」をクリックし、ポップアップ ウィンドウで「財務管理」を選択して、「OK」をクリックします。

写真

ステップ3: 共有クレジット管理

決済戦略が「財務管理」の場合は、エンタープライズ管理アカウントを使用し、https://usercenter2.aliyun.com/finance/union-account/overview をクリックして、ログ アカウントの必要な残高を設定します。

写真

5.5 クラウド アカウントをリソース アカウントに変換する

エンタープライズ管理アカウントを使用して、このリンク https://resourcemanager.console.aliyun.com/resource-directory/folders/ をクリックし、リソース管理コンソールにログインします。左側のナビゲーション バーで、[リソース カタログ] > [概要] を選択します。 [リソース組織] タブをクリックします。ログ アカウントを見つけて、対象メンバーの [操作] 列で [リソース アカウントに切り替える] をクリックします。

写真

6. アカウント間のリソース検索

企業のマルチアカウント アーキテクチャを構築するためのリソース ディレクトリを完了したら、エンタープライズ管理アカウントを使用して [リソース管理] - [リソース センター] - [アカウント間リソース検索] に移動し、[開始] ボタンをクリックしてアカウント間リソース検索を有効にします。

写真

表示するアカウントの下のアカウントまたはリソース グループを選択すると、対応するすべてのリソースが表示されます。

写真

リソース クエリ用のカスタム SQL ステートメントをサポートしているため、必要な情報を一括クエリするために Alibaba Cloud OpenAPI を介してコードを記述する必要がなくなります。よく使用するSQL文を保存し、ワンクリッククエリ機能を提供することで利便性が向上し、SQL利用の敷居を下げることができます。

写真

7. その他の応用シナリオ

リソースディレクトリ管理戦略

リソース ディレクトリの管理および制御戦略は、リソース構造 (リソース フォルダーまたはメンバー) に基づいたアクセス制御戦略です。リソース ディレクトリの各レベルでリソース アクセスのアクセス許可境界を統一的に管理し、企業全体のアクセス制御原則またはローカル専用の原則を確立できます。制御ポリシーは権限の境界を定義するだけで、実際に権限を付与するわけではありません。対応する ID がリソースにアクセスする前に、アクセス制御 (RAM) を使用してメンバーの権限を設定する必要もあります。

写真

リソースカタログと共有VPCを使用して、マルチアカウントネットワークの相互接続を実現します。

企業は、Cloud Enterprise Network (CEN) を使用して、複数のアカウントの仮想プライベート クラウド (VPC) ネットワークを接続し、複数のアカウント間のネットワーク接続を実現できます。しかし、業務の複雑性が増すにつれ、分散構成による集中的なネットワーク運用・保守が行えない、ネットワークリソースの設定が繰り返されることによるコストの増加、VPC数の増加によるネットワークの複雑性の増加など、新たな問題が生じてきます。上記の問題を回避するために、企業はリソース ディレクトリ RD (リソース ディレクトリ) を使用して複数のアカウントを整然と整理および管理し、共有 VPC を通じて複数のアカウント間のネットワーク相互接続を迅速に実現できます。

写真

クラウドSSOを使用して、複数のエンタープライズアカウントのIDと権限を一元的に管理します。

クラウド SSO は、Alibaba Cloud リソース ディレクトリ (RD) に基づいて、複数のアカウントに対する統合 ID 管理とアクセス制御を提供します。クラウド SSO 管理者は、複数のクラウド SSO ユーザーを作成し、RD 内の任意のメンバーに対するクラウド SSO ユーザーのアクセス権を均一に構成できます (アクセス構成)。クラウド SSO ユーザーがユーザー ポータルにログインすると、アクセス権を持つ RD メンバーのリストと、各 RD メンバーで自分が持っているアクセス権 (アクセス構成) を表示し、アクセス構成の権限を使用して RD メンバー内の対応するリソースにアクセスできます。